(Résolu) Security tool et combifix

[Louna.l]

Bonjour,

J'ai désinfecté le PC d'une amie suite à une attaque de Security tool, en suivant l'excellent guide de commentçamarche.net Lien

 

J'ai le rapport de combifix et je cherche quelqu'un capable de l'interpréter et me dire ce que je dois faire pour terminer la désinfection tel que conseillé ICI

 

Par avance merci pour vos lumières

Modifié le 22 octobre 2010 par Louna.l

[nardino]

Bonsoir,

 

Pour Security Tools, lis ce lien, tu y trouveras différentes solutions.

Combofix n'est absolument pas nécessaire pour cette infection.

Mais s'il s'agit d'autre chose, précise la nature des dysfonctionnements.

Fais un scan avec Malwarebytes et poste le rapport.

Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

 

Double-clique sur le fichier mbam-setup-1.46.exe (sous Vista et 7 autorise les modifications)

A la fin de l'installation, veille à ce que les options suivantes soient cochées

• -Mettre à jour Malwarebytes' Anti-Malware
  -Exécuter Malwarebytes' Anti-Malware

Clique sur Terminer

Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.

Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.

Le programme s'ouvre sur l'onglet Recherche.

Coche Exécuter un examen rapide, clique sur le bouton

 

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

 

Poste le rapport qui s'ouvre après cette suppression.

Redémarre le pc si cela est demandé

Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

@+

[Louna.l]

merci de me répondre.

Comme j'ai dit j'ai suivi toute la procédure de commentçamarche, voir lien ci-dessus. j'ai donc fait entre autres malwarebytes et "supprimer la sélection". La suite demande de faire combofix et besoin d'interprétation du rapport...

C'est mon élément manquant !

 

comme je n'avais pas de réponse (post sur 2 forums où il et censé y avoir des connaisseurs, recommandés par ce site, j'ai fait une analyse avast qui a trouvé un fichier infecté, dc mise en quarantaine.

 

Dc a priori tt va bien. Mais ça m'ennuie s'il reste des bribes de conneries. C'est pour ça que je cherche toujours qq'un pour interpréter ce fameux rapport de combifix...

[nardino]

Bonjour

Envoie ce rapport si cela peut te rassurer.

@+

[Louna.l]

Bonjour et Merci...

Voici le rapport :

 

ComboFix 10-10-19.03 - joceline 20/10/2010 12:54:37.1.2 - x86

MicrosoftÆ Windows Vistaô …dition Familiale Premium 6.0.6000.0.1252.33.1036.18.2038.1190 [GMT 2:00]

LancÈ depuis: c:\users\joceline\Desktop\CCM.exe.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: avast! antivirus 4.8.1335 [VPS 100630-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: AVG 7.5.557 *On-access scanning enabled* (Updated) {41564737-3200-1071-989B-0000E87B4FB1}

SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: avast! antivirus 4.8.1335 [VPS 100630-1] *disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat

c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

c:\users\joceline\AppData\Roaming\Microsoft\Windows\Recent\__f70038_beaute1-Creme-ialuset(2).url

c:\users\joceline\AppData\Roaming\Microsoft\Windows\Recent\__f70038_beaute1-Creme-ialuset.url

 

----- BITS: Il y a peut-Ítre des sites infectÈs -----

 

hxxp://cr-tools.clients.google.j+|Cv+@J:NGD_DQ{zZOmOo<;

.

((((((((((((((((((((((((((((( Fichiers crÈÈs du 2010-09-20 au 2010-10-20 ))))))))))))))))))))))))))))))))))))

.

 

2010-10-20 11:00 . 2010-10-20 11:01 -------- d-----w- c:\users\joceline\AppData\Local\temp

2010-10-20 11:00 . 2010-10-20 11:00 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-10-20 08:46 . 2010-10-20 08:46 -------- d-----w- c:\users\joceline\AppData\Roaming\Malwarebytes

2010-10-20 08:46 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-20 08:46 . 2010-10-20 08:46 -------- d-----w- c:\programdata\Malwarebytes

2010-10-20 08:46 . 2010-10-20 08:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-10-20 08:46 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-10-15 16:50 . 2010-09-09 22:52 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{3EC0FA5F-8C1C-4ED9-97BA-558CA4AC91DB}\mpengine.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]

2010-07-15 09:32 135840 ----a-w- c:\program files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-02-26 1232896]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-08 39408]

"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2009-10-09 25623336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-02-26 1006264]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]

"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]

"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]

"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]

"recinfo834"="c:\recinfo\RecInfo.exe" [2007-06-06 2768896]

"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]

"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]

"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]

"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-02 148888]

"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

 

c:\users\joceline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

R2 gupdate1ca2e49c8a4900;Service Google Update (gupdate1ca2e49c8a4900);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 133104]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2007-01-24 218112]

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-02-05 51792]

S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

 

 

--- Autres Services/Pilotes en mÈmoire ---

 

*Deregistered* - avgio

*Deregistered* - avipbb

*Deregistered* - ssmdrv

.

Contenu du dossier 'T‚ches planifiÈes'

 

2010-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 16:50]

 

2010-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 16:50]

.

.

------- Examen supplÈmentaire -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

FF - ProfilePath - c:\users\joceline\AppData\Roaming\Mozilla\Firefox\Profiles\rkhqpqd4.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com

FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=

FF - component: c:\program files\Fluendo\Moovida\spointer\extensions\moovida@spointer.com\components\moovida_air_ff.dll

FF - component: c:\users\joceline\AppData\Roaming\Mozilla\Firefox\Profiles\rkhqpqd4.default\extensions\{548f6736-8fe4-4680-82f2-170d6c07e1d2}\components\FFExternalAlert.dll

FF - component: c:\users\joceline\AppData\Roaming\Mozilla\Firefox\Profiles\rkhqpqd4.default\extensions\{548f6736-8fe4-4680-82f2-170d6c07e1d2}\components\RadioWMPCore.dll

FF - plugin: c:\program files\Common Files\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe

HKLM-Run-LaunchAp - c:\program files\Launch Manager\LaunchAp.exe

HKLM-Run-Wbutton - c:\program files\Launch Manager\WButton.exe

AddRemove-SiS163u - c:\windows\system32\unwlsdrv.exe

 

 

.

Heure de fin: 2010-10-20 13:03:25

ComboFix-quarantined-files.txt 2010-10-20 11:03

 

Avant-CF: 18†973†405†184 octets libres

AprËs-CF: 23†752†556†544 octets libres

 

- - End Of File - - 3312B91647CAA8B3EBB8743AB29956B8

[nardino]

Bonjour,

Je répète que Combofix n'est absolument pas nécessaire pour cette infection qui si elle est pénible à supporter ne pose pas grand problèmes à éradiquer.

Dans le menu Démarrer :

• -Sous XP > Exécuter > tape combofix /uninstall valide par Entrer ou OK
  -Sous Vista/7 > ou Exécuter > tape combofix /uninstall valide par Entrer ou OK

Un message t'avertira de la bonne suppression de l'outil

Supprime le rapport C:\Combofix.txt

Tu peux éditer le titre de ta question de base et y ajouter [résolu].

@+

[Louna.l]

Bonjour,

Je répète que Combofix n'est absolument pas nécessaire pour cette infection qui si elle est pénible à supporter ne pose pas grand problèmes à éradiquer.

Dans le menu Démarrer :

• -Sous XP > Exécuter > tape combofix /uninstall valide par Entrer ou OK
  -Sous Vista/7 > ou Exécuter > tape combofix /uninstall valide par Entrer ou OK

Un message t'avertira de la bonne suppression de l'outil

Supprime le rapport C:\Combofix.txt

Tu peux éditer le titre de ta question de base et y ajouter [résolu].

@+

 

OK. Le PC fonctionne normalement donc je pense que tout est bon. Merci à toi.

Clt

[nardino]

Bonjour.

Afficher son sujet comme résolu

 

@+

[Louna.l]

Oui Nardino je sais qu'il faut le faire, mais c la première fois que je viens sur forum Zébulon (très bien d'ailleurs) et ce matin je n'ai pas trouvé comment et ce soir non plus !!!

 

Un dernier coup de main ?

 

merci.......

[nardino]

Bonsoir,

Voici un tuto tout frais du à notre ami Thorgal

Afficher son sujet comme résolu

 

@+

Modifié le 22 octobre 2010 par nardino